C2WTS(Windows 토큰 서비스에 대한 클레임) 및 Reporting ServicesClaims to Windows Token Service (C2WTS) and Reporting Services

이 항목 적용 대상:THIS TOPIC APPLIES TO: 예SQL Server Reporting Services(2016 이상)SQL Server Reporting Services (2016 and later) 예SharePointSharePoint 예Power BI 보고서 서버Power BI Report Server이 항목 적용 대상:THIS TOPIC APPLIES TO: 예SQL Server Reporting Services(2016 이상)SQL Server Reporting Services (2016 and later) 예SharePointSharePoint 예Power BI 보고서 서버Power BI Report Server

SharePoint 클레임 (C2WTS) Windows 토큰 서비스에는 기본 모드에서 보고서를 보려는 경우에 필요는 SQL Server Reporting Services 보고서 뷰어 웹 파트합니다.The SharePoint Claims to Windows Token Service (C2WTS) is required if you want to view native mode reports within the SQL Server Reporting Services Report Viewer web part.

C2WTS은 SharePoint 팜 외부에 있는 데이터 원본에 대 한 Windows 인증을 사용 하려는 경우에 SQL Server Reporting Services SharePoint 모드 필요 합니다.C2WTS is also required with SQL Server Reporting Services SharePoint mode if you want to use Windows authentication for data sources that are outside the SharePoint farm. 데이터 원본이 공유 서비스와 동일한 컴퓨터에 있더라도 C2WTS가 필요합니다.C2WTS is needed even if your data source(s) are on the same computer as the shared service. 하지만 이 경우에는 제한된 위임이 필요하지 않습니다.However in this scenario, constrained delegation is not needed.

참고

SQL Server 2016 후 SharePoint와 reporting Services 통합을 사용할 수 없습니다.Reporting Services integration with SharePoint is no longer available after SQL Server 2016.

보고서 뷰어 웹 파트 구성Report Viewer web part configuration

보고서 뷰어 웹 파트를 사용 하 여 SharePoint 사이트 내에서 SQL Server Reporting Services 기본 모드 보고서를 포함할 수 있습니다.The Report Viewer web part can be used to embed SQL Server Reporting Services native mode reports within your SharePoint site. 이 웹 파트는 SharePoint 2013 및 SharePoint 2016에 사용할 수 있습니다.This web part is available for SharePoint 2013 and SharePoint 2016. SharePoint 2013 및 SharePoint 2016을 모두 확인 클레임 인증을 사용 합니다.Both SharePoint 2013 and SharePoint 2016 make use of claims authentication. 기본적으로 Windows 인증을 사용 하는 SQL Server Reporting Services (기본 모드).SQL Server Reporting Services (native mode) uses Windows authentication by default. 결과적으로, C2WTS 올바르게 렌더링 하는 보고서에 대해 적절히 구성 해야 합니다.As a result, C2WTS needs to be configured properly for reports to render correctly.

SharePoint 모드 integarationSharePoint mode integaration

이 섹션에 SQL Server 2016 Reporting Services 및 이전 버전에 적용 됩니다.This section only applies to SQL Server 2016 Reporting Services and earlier.

SharePoint 팜 외부에 있는 데이터 원본에 대 한 Windows 인증을 사용 하려는 경우 SharePoint 클레임 (C2WTS) Windows 토큰 서비스에 SQL Server Reporting Services SharePoint 모드 입력 해야 합니다.The SharePoint Claims to Windows Token Service (C2WTS) is required with SQL Server Reporting Services SharePoint mode if you want to use Windows Authentication for data sources that are outside the SharePoint farm. Reporting Services 공유 서비스 및 웹 프런트 엔드 간의 통신 WFE ()은 항상 클레임 인증 때문에 사용자가 Windows 인증을 사용 하 여 데이터 원본에 액세스 하는 경우에 마찬가지입니다.This is true even if the user accesses the data sources with Windows Authentication because the communication between the web front-end (WFE) and the Reporting Services shared service will always be Claims Authentication.

C2WTS를 구성 하는 데 필요한 단계Steps needed to configure c2WTS

C2WTS에서 만들어진 토큰은 제한된 위임(특정 서비스로 제한됨)과 "모든 인증 프로토콜 사용" 구성 옵션에서만 작동합니다.The tokens created by C2WTS will only work with constrained delegation (constrains to specific services) and the configuration option "using any authentication protocol". 앞에서 설명한 것처럼 데이터 원본이 공유 서비스와 동일한 컴퓨터에 있으면 제한된 위임이 필요하지 않습니다.As noted earlier, if your data sources are on the same computer as the shared service, then constrained delegation is not needed.

사용자 환경에서 Kerberos 제한된 위임을 사용하는 경우 SharePoint Server 서비스와 외부 데이터 원본이 동일한 Windows 도메인에 있어야 합니다.If your environment will use Kerberos constrained delegation, then the SharePoint Server service and external data sources need to reside in the same Windows domain. c2WTS(Windows 토큰 서비스에 대한 클레임)를 사용하는 서비스는 c2WTS에서 Kerberos 프로토콜 전환을 사용하여 클레임을 Windows 자격 증명으로 변환할 수 있도록 Kerberos 제한된 위임을 사용해야 합니다.Any service that relies on the Claims to Windows token service (c2WTS) must use Kerberos constrained delegation to allow c2WTS to use Kerberos protocol transition to translate claims into Windows credentials. 이러한 요구 사항은 모든 SharePoint 공유 서비스에 적용됩니다.These requirements are true for all SharePoint Shared Services. 자세한 내용은 SharePoint 2013에서 Kerberos 인증 계획을 참조하세요.For more information, see Plan for Kerberos authentication in SharePoint 2013.

  1. C2WTS 서비스 계정을 구성 합니다.Configure the C2WTS service account. C2WTS에 사용 됨을 각 서버에서 로컬 관리자 그룹에 서비스 계정을 추가 합니다.Add the service account to the local Administrators group on each server that C2WTS will be used.

    에 대 한는 보고서 뷰어 웹 파트, 웹 WFE (프런트 엔드) 서버 사용 됩니다.For the Report Viewer web part, this will be the Web Front End (WFE) servers. 에 대 한 SharePoint 통합된 모드, Reporting Services 서비스가 실행 되 고 있는 응용 프로그램 서버 사용 됩니다.For SharePoint integrated mode, this will be the application servers where the Reporting Services service is running.

  2. C2WTS 서비스 계정에 대 한 위임을 구성 합니다.Configure delegation for the C2WTS service account.

    이 계정에는 제한 위임 프로토콜 전환 및 (즉, SQL Server 데이터베이스 엔진, SQL Server Analysis Services)와 통신 하는 데 필요한 서비스에 위임할 수 있는 권한이 필요 합니다.The account needs Constrained Delegation with Protocol Transitioning and permissions to delegate to the services it is required to communicate with (i.e. SQL Server Database Engine, SQL Server Analysis Services). 위임을 구성 하려면 Active Directory 사용자 및 컴퓨터 스냅인 사용할 수 있으며 도메인 관리자가 되려면 필요 합니다.To configure delegation you can use the Active Directory Users and Computer snap-in and will need to be a domain administrator.

    중요

    모든 설정을 구성한 C2WTS 서비스 계정에 대 한 위임 탭에서 사용 되는 기본 서비스 계정와 일치 해야 합니다.Whatever settings you configure for the C2WTS service account, on the delegation tab, needs to match the main service account being used. 에 대 한는 보고서 뷰어 웹 파트, SharePoint 웹 응용 프로그램에 대 한 서비스 계정을이 됩니다.For the Report Viewer web part, this will be the service account for the SharePoint web application. 에 대 한 SharePoint 통합된 모드, Reporting Services 서비스 계정을이 됩니다.For SharePoint integrated mode, this will be the Reporting Services service account.

    예를 들어 C2WTS 서비스 계정 SQL 서비스에 위임할 수를 허용 하는 경우 SharePoint 통합된 모드의 Reporting Services 서비스 계정에서 동일한 작업을 수행 해야 합니다.For example, if you allow the C2WTS service account to delegate to a SQL Service, you need to do the same on the Reporting Services service account for SharePoint integrated mode.

    • 각 서비스 계정을 마우스 오른쪽 단추로 클릭하고 속성 대화 상자를 엽니다.Right-click each service account and open the properties dialog. 대화 상자에서 위임 탭을 클릭합니다.In the dialog click the Delegation tab.

      위임 탭만 개체에 서비스 사용자 이름 (SPN)에 할당 된 경우 표시 됩니다.The delegation tab is only visible if the object has a Service Prinicpal Name (SPN) assigned to it. 하지만 C2WTS an SPN, 없이 C2WTS 계정에 SPN을 필요 하지는 않습니다는 위임 탭 표시 되지 것입니다.C2WTS does not require an SPN on the C2WTS Account, however, without an SPN, the Delegation tab will not be visible. 제한된 위임을 구성하는 다른 방법으로는 ADSIEdit와 같은 유틸리티를 사용할 수 있습니다.An alternative way to configure constrained delegation is to use a utility such as ADSIEdit.

    • 위임 탭에 대한 키 구성 옵션은 다음과 같습니다.Key configuration options on the delegation tab are the following:

      • 선택 지정한 서비스에 위임에 대해이 사용자 트러스트Select Trust this user for delegation to specified services only
      • 선택 모든 인증 프로토콜 사용Select Use any authentication protocol
    • 추가 를 선택하여 위임할 서비스를 추가합니다.Select Add to add a service to delegate to.

    • 선택 사용자 또는 컴퓨터... ***는 서비스를 호스트 하는 계정을 입력 합니다.Select **Users or Computers...* and enter the account that hosts the service. 예를 들어, SQL Server 명명 된 계정에서 실행 중인 경우 sqlservice, 입력 sqlservice합니다.For example, if a SQL Server is running under an account named sqlservice, enter sqlservice.

    • 서비스 목록을 선택합니다.Select the service listing. 해당 계정에서 사용할 수 있는 SPN이 표시됩니다.This will show the SPNs that are available on that account. 해당 계정에 서비스가 표시되지 않는 경우 누락되었거나 다른 계정에 배치되었을 수 있습니다.If you don't see the service listed on that account, it may be missing or placed on a different account. SetSPN 유틸리티를 사용하여 SPN을 조정할 수 있습니다.you can use the SetSPN utility to adjust SPNs.

    • 확인을 선택하여 대화 상자를 종료합니다.Select OK to get out of the dialogs.

  3. C2WTS를 구성 AllowedCallers합니다.Configure C2WTS AllowedCallers.

    C2WTS ' id가 '를 명시적으로 필요한 구성 파일에 나열 된 C2WTShost.exe.config합니다. C2WTS는 특별히 구성되지 않은 한 시스템의 모든 인증된 사용자로부터의 요청을 허용하지 않습니다.C2WTS requires the ‘callers’ identities explicitly listed in the configuration file, C2WTShost.exe.config. C2WTS does not accept requests from all authenticated users in the system unless it is configured to do so. 이 경우 ' c'는 WSS_WPG Windows 그룹입니다.In this case the 'caller' is the WSS_WPG Windows group. C2WTShost.exe.confi 파일은 다음 위치에 저장 됩니다.The C2WTShost.exe.confi file is saved in the following location:

    SharePoint 중앙 관리 내에서 C2WTS 서비스에 대한 서비스 계정을 변경하면 WSS_WPG 그룹에 해당 계정이 추가됩니다.Changing the service account within SharePoint Central Admin, for the C2WTS service, will add that account to the WSS_WPG group.

    \Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    다음은 구성 파일의 예입니다.The following is an example of the configuration file:

    <configuration>
      <windowsTokenService>
        <!--  
            By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
            Add the identities you wish to allow below.  
          -->
        <allowedCallers>
          <clear/>
          <add value="WSS_WPG" />
        </allowedCallers>
      </windowsTokenService>
    </configuration>
    
  4. SharePoint 중앙 관리를 통해 Windows 토큰 서비스에 대 한 클레임에서 시작 된 서버의 서비스 관리 페이지.Start the Claims to Windows Token Service through SharePoint Central Administration on the Manage Services on Server page. 서비스는 동작을 수행하는 서버에서 시작되어야 합니다.The service should be started on the server that will be performing the action. 예를 들어 서버 응용 프로그램 서버에서 C2WTS를 시작 하는 WFE / 응용 프로그램 서버를 실행 하는 SQL Server Reporting Services 공유 서비스에만 상태가 다른 서버에 필요 합니다.For example if you have a server that is a WFE and another server that is an Application Server that has the SQL Server Reporting Services shared service running, you only need to start C2WTS on the Application Server. 보고서 뷰어 웹 파트를 실행 하는 경우 WFE 서버에서 C2WTS 하기만 됩니다.C2WTS is only required on a WFE server if you are running the Report Viewer web part.

추가 질문이 있으신가요?More questions? Reporting Services 포럼에서 질문하기Try asking the Reporting Services forum